re:Invent 2022で発表されたセキュリティ関連のアップデートをまとめました
AWS CloudTrail Lake の AWS Config との統合を発表
- CloudTrail Lakeとは
- CloudTrail で監査・セキュリティ調査・運用上のトラブルシューティングを目的として記録されたイベントを組織が一元的に集約・不変的に保存・クエリすることができるマネージドデータレイク
- 複数のリージョンやアカウントを含んだ AWS Organizations 内の組織からのイベントを CloudTrail Lake イベントデータストアに保存可能し、クエリー可能
- CloudTrail Lake が AWS Config の設定項目を取り込める
- 設定の詳細と AWS Config がサポートするリソースに関するコンプライアンス履歴 を取り込み可能
- 例)AWS Config のイベントデータストアを使用して Amazon S3 バケットに「何の変更が加えられたか」を示すクエリを作成し、それを CloudTrail のイベントデータストアと結合することで「誰が変更したのか」と「いつ変更したのか」に関する情報を併せて提供できる
- CloudTrail Lakeが利用可能なすべてのリージョンにて
Amazon Macie が機密データ自動検出機能をリリース
- Amazon Macieとは 機密データを検出、分類、保護するための機械学習によるセキュリティサービス
- Macie が自動的かつインテリジェントに S3 バケット内のオブジェクトをサンプリングおよび分析して、個人を特定できる情報 (PII)、財務データ、AWS 認証情報などの機密データがないか検査
- Macie が有効となっているすべてのアカウントとリージョンにおける S3 内の機密データの所在について、インタラクティブなデータマップを構築、継続的に維持し、各バケットに機密スコアを付与
- データのセキュリティリスクを継続的に識別および修正でき、また、データのセキュリティリスクをモニタリングしてそれに対応するコストを低減可能
AWS Wickr が一般提供を開始
- エンドツーエンドの暗号化されたエンタープライズコミュニケーションサービス
- 機能
- 1 対 1 のチャット、グループメッセージング、コール、ファイル共有、画面共有
- ユーザーが管理するデータストアに情報を保持でき、業界特有の規則に準拠して監査のニーズを満たすのに役立つ
- Active Directory (AD)、OpenID Connect (OIDC) によるシングルサインオン (SSO) などの追加サービスとも連携
AWS Lambda 関数向け Amazon Inspector のサポートを発表
- 対象となるすべての Lambda 関数を自動検出し、Lambda 関数のコードで使用されるアプリケーションパッケージの依存関係に含まれるソフトウェアの脆弱性を特定
- Lambda サービスにデプロイされたときに最初に評価され、継続的にモニタリングされて、関数が更新されたり新しい脆弱性が公開されたときに再評価
- 脆弱性が特定されると、実行可能なセキュリティ上の検出結果が生成されて Amazon Inspector コンソールで集約され、AWS Security Hub と Amazon EventBridge にプッシュされてワークフローが自動化
- Amazon Inspector をサポートする全てのリージョンで利用可能
AWS KMS が外部キーストアをリリース
- AWS 外の外部キー管理システムにおいて、暗号化キー、独立した認証、監査を使用してデータを暗号化したり復元可能
- 規制対象のワークロードの暗号化キーを AWS 外の、自社のみの管理下に置く必要があるコンプライアンスのニーズに対処する場合に有効
- 東京、大阪をはじめ各リージョンで提供開始
Amazon GuardDuty RDS Protection をプレビューで提供開始
- Aurora データベースに保存されているデータへの潜在的な脅威を特定
- 新規のデータベースへのアクセスをプロファイルしてモニタリングし、さらに、カスタマイズされた機械学習モデルを使用して、Aurora データベースへの疑わしいログインを正確に検出
- データベースを変更することなくデータベースのイベントに直接アクセスできるため、データベースのパフォーマンスが影響を受けることはない
- 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、アジアパシフィック (東京)、欧州 (アイルランド) の 5 つの AWS リージョンでプレビュー利用可能
Amazon Verified Permissions (プレビュー)
- カスタムアプリケーション向けのスケーラブルできめ細かなアクセス許可管理および承認サービス
- アクセス許可を一元化し、デベロッパーがアプリケーション内でのユーザーアクションを承認するのに役立つ
- Cedar ポリシー言語を使用して、アプリケーションユーザーのきめ細かいアクセス許可を定義
- Cedarポリシー言語 https://www.cedarpolicy.com/tutorial
- プレビュー申し込みはこちら
AWS Verified Access プレビュー – 企業アプリケーションへの VPN レスの安全なネットワークアクセス
- VPN を必要とすることなく、企業がローカルまたはリモートで自社の企業アプリケーションに安全にアクセスすることを可能にする新しい安全な接続サービス
- AWS ゼロトラストのセキュリティ原則を用いて構築
- シンプルなブラウザプラグインで安全にアクセス権を付与
- Chrome および Firefox のウェブブラウザをサポート
- 米国東部 (オハイオ、バージニア北部)、米国西部 (北カリフォルニア、オレゴン)、アジアパシフィック (シドニー)、カナダ (中部)、欧州 (アイルランド、ロンドン、パリ)、南米 (サンパウロ) で利用可能
re:Capのご案内
2023/1/28(土) JAWS-UG横浜 #54 AWS re:Invent 2022 Recap Security でキャッチアップを行いますのでぜひぜひご参加ください!